個人情報保護法

個人情報の保護に関する法律(こじんじょうほうのほごにかんするほうりつ)は、個人情報の取り扱いに関連する法律。略称は個人情報保護法。

2003年(平成15年)5月23日成立、2005年(平成17年)4月1日全面施行。

個人情報保護法の成立経緯

情報化社会の進展とともに、行政・民間が保有する膨大な個人情報を容易に処理することが可能となり、プライバシー侵害への危険性、不安が増大していった。1980年にはOECD理事会で「プライバシー保護と個人データ国際流通についてのガイドラインに関する勧告」が採択されるなど、国際的にも個人情報の取扱いやプライバシーの保護が次第に重要視されるようになった。

日本では、1988年(昭和63年)、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布され、1989年、民間部門に対して通産省(現:経済産業省)により「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」が策定された。しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定が無く、また民間部門を対象としたガイドラインには法的拘束力が無いなど、個人情報の保護という観点から十分に機能しているとは言いがたい状況であった。

さらに住民基本台帳ネットワークの稼動(2002年)、中川秀直愛人スキャンダル事件(2000年)やTBC個人情報漏洩事件(2002年)など多発する個人情報漏洩事件を受けて、2002年に個人情報保護法関連五法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めるために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年5月に成立した。

企業への準備期間として成立から施行までに2年間の期間が設けられた。個人情報保護法が施行される直前の2005年3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。

個人情報保護法の法律の概要

個人情報保護法および同施行令により、5000件以上の個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が個人情報を漏らした場合や、主務大臣への報告義務等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。

個人情報保護法の関連する国際基準

1980年にOECD理事会で採択された「プライバシー保護と個人データ国際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。

1995年、EUが「個人データ処理に係る個人情報保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」を採択し、EU加盟国以外への個人情報の移転は、当該国が十分なレベルの保護措置を講じている場合に限られるとした。1998年、EUの指令により顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたため、「プライバシーマーク制度」が設立された。また、この制度の検討期間中には、EU加盟国等によって、日本の個人情報の保護措置が「十分なレベル」に達することが確認された

他に国際基準としては情報セキュリティマネジメントシステムISMS)もある。これらの制度については、「個人情報漏洩に対する企業の対策」「個人情報漏洩後の企業の対策」を企業が細かくマニュアル化し、それを社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要すことになる。

個人情報保護法の構成

第1章 総則(第1条?第3条)

第2章 国及地方公共団体責務等(第4条?第6条)

第3章 個人情報の保護に関する施策等

第1節 個人情報の保護に関する基本方針(第7条)

第2節 国の施策(第8条?第10条)

第3節 地方公共団体の施策(第11条?第13条)

第4節 国及地方公共団体の協力(第14条)

第4章 個人情報取扱事業者の義務等

第1節 個人情報取扱事業者の義務(第15条?第36条)

第2節 民間団体による個人情報の保護の推進(第37条?第49条)

第5章 雑則(第50条?第55条)

第6章 罰則(第56条?第59条)

個人情報保護法の主な内容

個人情報保護法の基本理念

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。

個人情報保護法の定 義

個人情報 個人情報とは、生存する個人の情報であって、特定の個人を識別できる情報(氏名、生年月日等)を指す。これには、他の情報と容易に照合することができることによって特定の個人を識別することができる情報(学生名簿等と照合することで個人を特定できるような学籍番号等)も含まれる(2条1項)。

個人情報データベース等 個人情報データベース等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって体系的に整理された紙のデータベース等を指す。未整理の紙のデータ等は該当しない(2条2項)。

個人データ 人情報データベース等を構成する個人情報は個人データと呼ばれる(2条4項)。

保有個人データ 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのこと(2条5項)。

個人情報保護法の個人情報取扱事業者の対象

個人情報等データベースを事業の用に供する者で、国、地方公共団体、独立行政法人等、地方独立行政法人(行政機関個人情報保護法等の適用を受ける)や、取扱う個人情報(市販の電話帳カーナビ住所情報等は除く)が過去6か月以内のいずれの時点においても5000人を超えない事業者を除く者を指す(2条3項、施行令2条)。

したがって、事業者には営利法人のみならず非営利法人も該当するが、一般の個人については原則として対象とならない(ただし、個人事業主等でこの定義に当てはまる者は当然、本法の対象となる)。

個人情報保護法の個人情報取扱事業者の主な義務

個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。

個人情報については、利用目的の特定・制限(15条、16条)、適正な取得(17条)、取得に際しての利用目的の通知(18条)及び苦情の処理(31条)が定められている。

個人データについては、データ内容の正確性の確保(19条)、安全管理措置や従業者・委託先の監督(20条 - 22条)、第三者提供の制限(23条)が定められている。

保有個人データについては、事項の公表等(24条)、開示(25条)、訂正等(26条)、利用停止等(27条)が規定されている。

事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない(28条)。


個人情報保護法の第三者提供の制限

個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(23条)。

法令に基づく場合(統計調査等

人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(事故の際の安否情報など)

公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき(児童虐待情報など)

国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき(犯罪捜査協力等

個人情報保護法の開示請求

個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該当する時を除いては、遅滞なく開示しなければならない。ただし、6月以内で消去することが予定されている情報(第2条5項)や情報の存否を明らかにすることによって公益等が害される情報は除かれる(25条)。

本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

当該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

他の法令に違反することとなる場合

医療機関等訴訟外で医療のカルテ等を開示請求する等の活用例が考えられる。

個人情報保護法の訂正請求

個人情報取扱事業者は、本人から、保有個人データの内容が事実でないという理由によって当該個人データの内容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない(26条)。

個人情報保護法の利用停止請求

個人情報取扱事業者は、本人から、保有個人情報データ利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならないが、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない(27条 1項)。

個人情報保護法の主務大臣による報告徴収等

主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱について報告を求め、助言することができる(32条 - 34条)。(間接強制

主務大臣は、個人情報取扱事業者が本法に違反している場合において個人の権利保護を保護するため必要があると認めるときは、勧告をすることができ、正当な理由がなく勧告に従わず個人の重大な権利利益の侵害が切迫していると認めるときに命令を出すことができる。

主務大臣は、個人情報取扱事業者が本法の規定に違反(ただし開示請求等は除く)していて個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、直ちに緊急命令を出すことができる

命令に違反すると6月以下の懲役または30万円以下の罰金に処せられることがある(56条)。

個人情報保護法の適用除外

個人情報取扱事業者が、マスコミ・著述業関係、大学等、宗教団体政治団体であり、それぞれ、報道・著述、学術研究、宗教活動政治活動の目的で個人情報を利用する場合は、総則規定以外の適用を受けない(50条)。これは、主務大臣報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。

さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大学等、宗教団体政治団体に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収命令等の権限を行使しないものとしている。(個人情報保護法そのものの適用除外を意味するものではない。)

なお、これらの職にある者が、正当な理由がない場合に、業務上取扱い知り得た秘密を漏らしたときは、刑法134条2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である点に留意する必要がある。

個人情報保護法の認定個人情報保護団体

個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は、主務大臣の認定を受けて認定個人情報保護団体となることができる(37条)。

個人情報保護法の問題点

この法律については、一部で誤解や過剰反応に基づいた問題が発生している。

例えば、国の運営活動に必要かつ正当な利用に関しては本人の同意なくして第三者に提供することが可能となっているが、選挙運動国勢調査などの円滑な実施(特に後者は日本に居住するすべての者に申告の義務があるため、個人情報保護を理由とした協力拒否は違法となる)の障害となっているとの声もある。

また災害や大規模な事故などが発生した際の安否情報も、第23条第1項第2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該当するため公表しても差し支えないと解釈されるが、JR福知山線脱線事故のように、周知が行き届かなかったために、情報の取扱いに混乱をもたらした事例もあった(詳しくは同記事参照のこと)。

そのため、内閣府ではこういった過剰反応や誤解に対し批判し、個人情報保護法に抵触しない例を出すこととなった。

またマスコミ等に対する適用除外については、法の下の平等を理由とした批判もある。

新潟県中越沖地震では、要援護者名簿の取り扱いに問題点が表面化した。自治体が保有する要援護者名簿が町内会に共有されていれば、地震の死者を減らせた可能性がある。その一方で、名簿が悪徳業者に流出すれば、悪徳リフォームなどに巻き込まれる危険性も伴う。

更に、小中学校の学級緊急連絡網リストや企業の社員住所録が拡大解釈で作成出来なくなる事態も起きている。

個人情報保護法の裁判

本法の施行後、個人情報を漏洩された本人が、精神的苦痛を与えられたとして、慰謝料を請求する訴訟も起こされている。実際に被害者側が勝訴している判例もあり、例えば、京都府宇治市住民基本台帳データが不正流出した件では、大阪高等裁判所が、宇治市に対し、住民に一人あたり15000円(慰謝料10000円、弁護士手数料5000円)の損害賠償をするように命じた。また、最高裁判所は本件に対する宇治市の上告を棄却し、平成14年7月11日に控訴審判決が確定した。

◇出典: フリー百科事典ウィキペディア(Wikipedia)『個人情報保護法』より
取得日:2008-08-13

個人情報保護法の関連サイト

個人情報保護法 関連サイトをもっと見る

↑ページの上にもどる